本發(fā)明涉及工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全，更具體地說(shuō)，它涉及一種工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)。

背景技術(shù)：

1、工業(yè)控制系統(tǒng)是由各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過(guò)程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。工業(yè)控制系統(tǒng)通常由共同作用實(shí)現(xiàn)某一工業(yè)用途的控制部件組合而成，是工業(yè)生產(chǎn)基礎(chǔ)設(shè)施的關(guān)鍵組成部分，廣泛應(yīng)用于電力、水利、化工、交通、能源、冶金、航空航天等國(guó)家重要基礎(chǔ)設(shè)施領(lǐng)域，超過(guò)80％的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)實(shí)現(xiàn)自動(dòng)化作業(yè)。

2、對(duì)于一些規(guī)模較大的工業(yè)控制系統(tǒng)來(lái)說(shuō)，其在實(shí)際使用過(guò)程中，容易受到網(wǎng)絡(luò)數(shù)據(jù)攻擊，因此，會(huì)設(shè)置專(zhuān)門(mén)的網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)對(duì)其網(wǎng)絡(luò)安全進(jìn)行監(jiān)管，以保證工業(yè)控制系統(tǒng)能夠正常運(yùn)行。然而，現(xiàn)有的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)在根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)定義安全事件時(shí)，無(wú)法對(duì)安全事件進(jìn)行等級(jí)判定，使其無(wú)法過(guò)濾掉一些正常的異常流量數(shù)據(jù)，導(dǎo)致系統(tǒng)的運(yùn)行功耗較大，監(jiān)測(cè)效率不高。

技術(shù)實(shí)現(xiàn)思路

1、針對(duì)現(xiàn)有技術(shù)存在的不足，本發(fā)明的目的在于提供一種工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)。

2、為實(shí)現(xiàn)上述目的，本發(fā)明提供了如下技術(shù)方案，包括：

3、數(shù)據(jù)采集模塊，其用于對(duì)工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和采集，并將數(shù)據(jù)存儲(chǔ)在本地或云端的數(shù)據(jù)中心；

4、數(shù)據(jù)處理和分析模塊，其用于對(duì)采集到的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行處理、分析和挖掘，識(shí)別出異常流量和攻擊行為，檢測(cè)和預(yù)測(cè)安全事件，并生成數(shù)據(jù)分析結(jié)果；

5、安全事件管理模塊，其用于對(duì)安全事件進(jìn)行自動(dòng)識(shí)別、分類(lèi)、處理、響應(yīng)和記錄，同時(shí)對(duì)安全事件進(jìn)行統(tǒng)計(jì)分析，并生成報(bào)告；

6、其中，對(duì)安全事件進(jìn)行自動(dòng)識(shí)別和分類(lèi)的具體過(guò)程為：

7、s1、數(shù)據(jù)預(yù)處理：對(duì)收集到的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行預(yù)處理，包括數(shù)據(jù)清洗、去重、標(biāo)準(zhǔn)化處理；

8、s2、特征提?。簭念A(yù)處理后的數(shù)據(jù)中提取特征，以便后續(xù)的識(shí)別算法使用，可以提取與攻擊行為和異常流量相關(guān)的特征，包括流量大小、頻率、持續(xù)時(shí)間、ip地址、端口號(hào)；

9、s3、安全事件分類(lèi)：使用分類(lèi)器對(duì)提取的特征進(jìn)行分類(lèi)，根據(jù)特征將安全事件分為不同的類(lèi)型；

10、s4、規(guī)則匹配：在分類(lèi)器的基礎(chǔ)上，根據(jù)制定的規(guī)則來(lái)進(jìn)一步識(shí)別和分類(lèi)安全事件；具體過(guò)程為：設(shè)定流量數(shù)據(jù)特征判斷閾值h0，將所識(shí)別出的該流量數(shù)據(jù)的總流量標(biāo)記為gk，流量頻率標(biāo)記為bk，持續(xù)時(shí)間tk，其中，k為該流量數(shù)據(jù)對(duì)應(yīng)的順序編號(hào)，通過(guò)公式hk＝gk×a1+bk×a2+tk×a3得到該流量數(shù)據(jù)的安全等級(jí)判斷系數(shù)hk，將hk與h0進(jìn)行比較，如果hk≥h0，則將該流量數(shù)據(jù)標(biāo)記為高等級(jí)安全事件，根據(jù)該流量數(shù)據(jù)具體類(lèi)型，執(zhí)行自動(dòng)阻斷這個(gè)攻擊行為，并將該高等級(jí)事件報(bào)告給管理員；如果hk≤h0，則將流量數(shù)據(jù)標(biāo)記為低等級(jí)事件，對(duì)該流量數(shù)據(jù)直接過(guò)濾，不計(jì)為安全事件；

11、報(bào)警和響應(yīng)模塊，其用于在發(fā)現(xiàn)異常流量或攻擊行為時(shí)及時(shí)發(fā)出報(bào)警信號(hào)，并采取相應(yīng)的響應(yīng)措施；

12、用戶(hù)管理和權(quán)限控制模塊，其用于對(duì)平臺(tái)用戶(hù)進(jìn)行身份認(rèn)證、授權(quán)和管理；

13、數(shù)據(jù)備份和恢復(fù)模塊，其用于對(duì)重要數(shù)據(jù)進(jìn)行備份和恢復(fù)操作。

14、優(yōu)選的，所述數(shù)據(jù)采集模塊在網(wǎng)絡(luò)數(shù)據(jù)流量時(shí)的對(duì)象應(yīng)該包括生產(chǎn)控制系統(tǒng)、監(jiān)控和數(shù)據(jù)采集系統(tǒng)、分布式控制系統(tǒng)、過(guò)程控制系統(tǒng)，所述數(shù)據(jù)采集模塊使用的數(shù)據(jù)采集技術(shù)包括網(wǎng)絡(luò)流量分析、入侵檢測(cè)和防御。

15、優(yōu)選的，所述數(shù)據(jù)處理和分析模塊對(duì)數(shù)據(jù)進(jìn)行處理的具體過(guò)程為：

16、s1、數(shù)據(jù)采集：通過(guò)數(shù)據(jù)采集設(shè)備采集所需的網(wǎng)絡(luò)流量數(shù)據(jù)，采集到的數(shù)據(jù)包括原始數(shù)據(jù)和經(jīng)過(guò)預(yù)處理的數(shù)據(jù)；

17、s2、數(shù)據(jù)清洗：對(duì)采集到的數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗，包括去除重復(fù)數(shù)據(jù)、處理缺失值、消除噪聲等操作，以確保數(shù)據(jù)分析的準(zhǔn)確性；

18、s3、數(shù)據(jù)轉(zhuǎn)換：根據(jù)需要對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)換，包括將原始數(shù)據(jù)轉(zhuǎn)換為標(biāo)準(zhǔn)化數(shù)據(jù)，或者將文本數(shù)據(jù)轉(zhuǎn)換為數(shù)值數(shù)據(jù)等。

19、s4、數(shù)據(jù)挖掘：通過(guò)聚類(lèi)分析、關(guān)聯(lián)規(guī)則挖掘、序列模式方式對(duì)處理后的數(shù)據(jù)進(jìn)行挖掘，發(fā)現(xiàn)數(shù)據(jù)中的模式、趨勢(shì)和關(guān)聯(lián)關(guān)系；

20、s5、異常檢測(cè)：通過(guò)機(jī)器學(xué)習(xí)算法對(duì)數(shù)據(jù)進(jìn)行分析，識(shí)別出異常流量和攻擊行為，包括構(gòu)建相關(guān)數(shù)據(jù)模型，并對(duì)數(shù)據(jù)進(jìn)行分類(lèi)、聚類(lèi)或回歸分析，利用機(jī)器學(xué)習(xí)算法對(duì)數(shù)據(jù)進(jìn)行分析；

21、s6、安全事件檢測(cè)和預(yù)測(cè)：通過(guò)時(shí)間序列分析、異常檢測(cè)、深度學(xué)習(xí)來(lái)方法分析異常流量和攻擊行為的特點(diǎn)，構(gòu)建安全事件檢測(cè)模型，預(yù)測(cè)未來(lái)可能發(fā)生的安全事件；

22、s7、可視化呈現(xiàn)：通過(guò)數(shù)據(jù)可視化工具、圖表制作工具技術(shù)，將數(shù)據(jù)分析結(jié)果通過(guò)圖表、圖形或其他可視化方式呈現(xiàn)出來(lái)，方便用戶(hù)快速了解工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全狀況；

23、s8、報(bào)告生成：根據(jù)分析結(jié)果，生成相應(yīng)的安全報(bào)告，對(duì)安全事件進(jìn)行詳細(xì)的分析和總結(jié)，并提供相應(yīng)的建議和措施。

24、優(yōu)選的，所述安全事件管理模塊在對(duì)安全事件進(jìn)行記錄時(shí)，具體為：記錄每個(gè)安全事件的詳細(xì)信息，包括時(shí)間、地點(diǎn)、攻擊類(lèi)型、ip地址、端口號(hào)；同時(shí)，可以生成安全事件報(bào)告，將一段時(shí)間內(nèi)的安全事件情況進(jìn)行統(tǒng)計(jì)和分析，包括安全事件的類(lèi)型、數(shù)量、級(jí)別、處理情況等，并根據(jù)需要生成各種報(bào)表和圖表。

25、優(yōu)選的，在所述安全事件管理模塊中安全事件分類(lèi)根據(jù)攻擊的類(lèi)型，可以將安全事件分為網(wǎng)絡(luò)攻擊、病毒攻擊、木馬攻擊、釣魚(yú)攻擊、勒索軟件攻擊；根據(jù)攻擊的目標(biāo)，可以將安全事件分為服務(wù)器攻擊、終端設(shè)備攻擊、數(shù)據(jù)庫(kù)攻擊等。

26、優(yōu)選的，所述報(bào)警和響應(yīng)模塊在進(jìn)行報(bào)警和響應(yīng)的具體過(guò)程為：

27、s1、流量監(jiān)測(cè)與異常檢測(cè)：通過(guò)流量監(jiān)測(cè)工具對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)發(fā)現(xiàn)流量數(shù)據(jù)超出正常范圍或者出現(xiàn)異常模式時(shí)，會(huì)觸發(fā)報(bào)警機(jī)制；

28、s2、報(bào)警信號(hào)生成：一旦確認(rèn)了異常流量或攻擊行為，模塊將生成相應(yīng)的報(bào)警信號(hào)；

29、s3、報(bào)警信號(hào)發(fā)送：報(bào)警信號(hào)會(huì)通過(guò)預(yù)設(shè)的通道發(fā)送給管理員；

30、s4、自動(dòng)阻斷攻擊：在報(bào)警信號(hào)達(dá)到設(shè)定等級(jí)時(shí)，報(bào)警和響應(yīng)模塊可以自動(dòng)阻斷攻擊行為；

31、s5、設(shè)備隔離：如果確認(rèn)設(shè)備已經(jīng)被攻陷或者高度懷疑被攻陷，報(bào)警和響應(yīng)模塊可以將其隔離，以防止其繼續(xù)對(duì)系統(tǒng)產(chǎn)生危害；

32、s6、日志記錄與審計(jì)：在整個(gè)報(bào)警和響應(yīng)過(guò)程中，報(bào)警和響應(yīng)模塊會(huì)記錄所有相關(guān)的操作，包括報(bào)警觸發(fā)的時(shí)間、執(zhí)行的響應(yīng)操作、執(zhí)行操作者等詳細(xì)信息。

33、優(yōu)選的，所述用戶(hù)管理和權(quán)限控制模塊在執(zhí)行操作時(shí)，通過(guò)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量數(shù)據(jù)，及時(shí)發(fā)現(xiàn)異常流量和攻擊行為，并對(duì)用戶(hù)進(jìn)行身份認(rèn)證、授權(quán)和管理；同時(shí)，可以限制用戶(hù)的訪問(wèn)權(quán)限和操作功能，防止數(shù)據(jù)泄露和濫用。

34、優(yōu)選的，所述數(shù)據(jù)備份和恢復(fù)模塊在實(shí)現(xiàn)數(shù)據(jù)備份的過(guò)程為：

35、定義備份策略，包括備份的時(shí)間、頻率、存儲(chǔ)位置等；

36、制定備份計(jì)劃，根據(jù)備份策略，定期執(zhí)行備份操作；

37、備份數(shù)據(jù)時(shí)，使用mysq?l?dump命令對(duì)指定數(shù)據(jù)庫(kù)進(jìn)行備份操作，并將備份文件存儲(chǔ)到指定位置；

38、記錄備份信息，包括備份時(shí)間、備份文件名、備份大小；

39、所述數(shù)據(jù)備份和恢復(fù)模塊在實(shí)現(xiàn)數(shù)據(jù)恢復(fù)的過(guò)程為：

40、定義恢復(fù)策略，包括恢復(fù)的時(shí)間、頻率、存儲(chǔ)位置；

41、制定恢復(fù)計(jì)劃，根據(jù)恢復(fù)策略，定期執(zhí)行恢復(fù)操作；

42、恢復(fù)數(shù)據(jù)時(shí)，使用mysq?l命令對(duì)指定數(shù)據(jù)庫(kù)進(jìn)行恢復(fù)操作，并將備份文件存儲(chǔ)到指定位置；

43、記錄恢復(fù)信息，包括恢復(fù)時(shí)間、恢復(fù)文件名、恢復(fù)大小。

44、與現(xiàn)有技術(shù)相比，本發(fā)明具備以下有益效果：

45、(1)通過(guò)設(shè)置安全事件管理模塊，可用于對(duì)安全事件進(jìn)行自動(dòng)識(shí)別、分類(lèi)、處理、響應(yīng)和記錄，同時(shí)還能進(jìn)行統(tǒng)計(jì)分析，生成相關(guān)的報(bào)告，同時(shí)，通過(guò)設(shè)置對(duì)異常流量的判斷規(guī)則，通過(guò)計(jì)算流量數(shù)據(jù)的安全等級(jí)判斷系數(shù)，來(lái)判斷該數(shù)據(jù)流量是否需要過(guò)濾，因此，實(shí)現(xiàn)了對(duì)異常流量數(shù)據(jù)的自動(dòng)過(guò)濾功能，可避免對(duì)不計(jì)入安全事件的低等級(jí)事件進(jìn)行處理，進(jìn)而有利于減少監(jiān)測(cè)平臺(tái)的損耗，并能夠提升監(jiān)測(cè)平臺(tái)的監(jiān)測(cè)效率；

46、同時(shí)，能夠全面監(jiān)測(cè)網(wǎng)絡(luò)流量數(shù)據(jù)并自動(dòng)識(shí)別、分類(lèi)、處理和響應(yīng)安全事件，從而提高了工業(yè)控制系統(tǒng)的安全性；

47、(2)通過(guò)設(shè)置數(shù)據(jù)處理和分析模塊，能夠?qū)Σ杉降木W(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行處理、分析和挖掘，識(shí)別出異常流量和攻擊行為，檢測(cè)和預(yù)測(cè)安全事件，并生成數(shù)據(jù)分析結(jié)果，有利于提升監(jiān)測(cè)平臺(tái)的安全性和預(yù)警能力；

48、通過(guò)設(shè)置數(shù)據(jù)備份和恢復(fù)模塊，使得該平臺(tái)還具備用戶(hù)管理和權(quán)限控制以及數(shù)據(jù)備份和恢復(fù)等功能，進(jìn)一步增強(qiáng)了系統(tǒng)的可靠性和安全性。